Bonjour à tous!
Voilà ma problématique je souhaiterai pouvoir être informé par mail + interface des tentatives d'intrusions sur mes serveurs en DMZ. (2)
Je dispose également d'un firewall PIX pour lequel j'ai mis en place une interface super sympat pour consulter les logs de DROP/DENY (ca s'appel PLA Pix Log Architecture) le problème c'est que si je ne vais rien voir ... rien ne remonte :(
- Ainsi que sur mes 2 serveurs en DMZ de règles IPTABLES que j'aimerai aussi pouvoir analyser
Donc voilà je ne sais pas trop comment m'y prendre ...
Il semble qu'il y ait plusieurs solutions:
- Connecter une machine sur le switch en promesceous mode pour analyser les données qui transitent ... (Cette solution me semble assez périlleuse à mettre en place.../rsique de lenteurs et c'est pas dit que tout soit analysé notamment les attaques sur le flux SSL)
- Installer des IDS sur mes 2 serveurs en DMZ (là ca me parait plus simple... ou pas :)
- Faire de l'analyse sur les fichiers de logs en les centralisant -- je ne sais pas si un IDS fait ca ou non ...
- Je ne sais pas si cela se fait mais je dispose d une VM pour les taches d'administration qui a accès a tous mes serveurs (dont ceux en DMZ) et sur laquelle je centralise deja pas mal de logs... (via syslog-ng) l'idée serait alors de mettre un serveurs IDS central sur cette machinne avec des sondes sur la DMZ mais peut être que là je dis n'importe quoi ...
Qu'en pensez vous et quelle solution serait la plus aisé à mettre en place ??? avec mes prérequis remonté d'info sur interface web + mail pour les trucs vraiment critiques
Merci à tous pour vos idées!!!
# HIDS : OSSEC
Posté par tuxsmouf . Évalué à 3.
http://www.ossec.net
Il est assez simple à installer et à utiliser au quotidien. Je pense qu'il pourrait t'interesser.
[^] # Re: HIDS : OSSEC
Posté par ratw3 . Évalué à 1.
Merci pour ce retour!
En effet ça a l'air simple à mettre en place je viens de lire un peu la doc.
Mais je n'ai pas vu d'interface web pour le visionnage des alertes tu peux confirmer ?
Merci d'avance!
[^] # Re: HIDS : OSSEC
Posté par tuxsmouf . Évalué à 2.
Je me base principalement sur les alertes envoyées par email (Pas ou peu de règles à modifier à la base).
Ensuite, s'il faut chercher plus loin, je consulte directement les logs du serveur.
[^] # Re: HIDS : OSSEC
Posté par ratw3 . Évalué à 1.
[^] # Re: HIDS : OSSEC
Posté par ratw3 . Évalué à -1.
# log du pix
Posté par eric gerbier (site web personnel) . Évalué à 1.
ensuite, il existe des logiciels d'analyse des log CISCO, comme par exemple fwanalog
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.